配置 LDAP 身份验证
如果在 Infor Ming.le 中访问 Dashboards,则使用 IFS 身份验证,而无法使用 LDAP 身份验证。
若要在非 Infor Ming.le 环境下使用 LDAP,必须在 Service Expert 中将身份验证设置为 LDAP。若要配置 LDAP,使用“Repository”仪表板提供所需全部 LDAP 身份验证提供程序设置。配置 LDAP 身份验证后,即可注册 LDAP 用户与组。
注意
在 Repository 中注册 LDAP 身份验证后,仍可使用基本用户登录。若要使用基本用户身份验证登录,必须在用户名前面加上前缀 basic:。
- 选择“仪表板”>“场管理”>“Repository”。
- 在“身份验证提供程序设置”小组件中,选择“LDAP”。
- 单击 LDAP 的“设置”图标。
-
单击“常规”选项卡并指定以下信息:
- 服务器名称
- 指定 LDAP 目录所在的服务器的唯一服务器名称或 IP 地址,例如 “myldapserver”。
- 端口
- 指定 LDAP 服务器的端口号。
- 根目录
- 指定根目录的唯一名称,例如 “dc=mysubdomain,dc=mydomain”。可指定 LDAP 结构的多个根(使用分号来分隔)。
- 用户名和密码
- 指定用户名和密码以访问目录。
-
单击“用户”选项卡并指定以下信息:
- 筛选器
- 指定用于区分用户与 LDAP 目录下其他对象的信息。例如,“(&(objectCategory=person)(objectClass=user))”。
- 组成员
- 若要激活组成员,选中此复选框。
- 所属组
- 如果未选中“组成员”,则指定存储用户组成员的特性类型的名称。例如,“memberof”。
- 用户名
- 指定存储用户名的特性类型的名称。例如,“account_name”。
- 用户 ID
- 指定存储唯一用户 ID 的特性类型的名称。例如,“objectsid”。
- 用户说明
- 指定储存用户说明的特性类型的名称(可选)。
-
单击“组”选项卡并指定以下信息:
- 筛选器
- 指定用于区分组与 LDAP 目录下其他对象的信息。例如,“objectclass=group”。
- 用户所属组
- 指定特性类型的名称,其中存储了属于组的用户。例如,“member”。
- 组名称
- 指定存储组名称的特性类型的名称。例如,“group_name”。
- 组 ID
- 指定存储唯一组 ID 的特性类型的名称。例如,“group_id”。
- 组说明
- 指定储存组说明的特性类型的名称(可选)。
-
单击“身份验证”选项卡,然后选择以下一个或多个身份验证选项:
- 基本身份验证(简单绑定)
- 选中此复选框,在 LDAP 身份验证提供程序中使用“基本”身份验证。如果选中“基本身份验证”,则禁用其他身份验证选项。
- 安全
-
要求执行安全身份验证。选中此复选框后,WinNT 提供程序会用 NTLM 对客户端进行身份验证。Active Directory 域服务使用 Kerberos,也可使用 NTLM 对客户端进行身份验证。如果用户名和密码为空引用(Visual Basic 中为 Nothing),则 ADSI 使用调用线程的安全上下文绑定对象。在此连接中,这是:
- 运行应用程序所用的用户账户的安全上下文,
- 或调用线程所模拟的客户端用户账户的安全上下文。
- “加密”:使用 Kerberos 对数据进行加密。
- “签名”:验证数据完整性,以确保收到的数据与发送的数据相同。
- 匿名
- 不执行身份验证。
- 使用 SSL
- 对消息附加加密签名,以标识发件人并确保消息不会在传送过程中受到修改。
- 快速绑定
- 指定 ADSI 将不会尝试查询 Active Directory 域服务 objectClass 属性。因此,只有所有 ADSI 对象支持的基本接口才可用。该对象支持的其他接口不可用。用户可用此选项通过一系列对象操作(仅涉及基本接口的方法)提高性能。ADSI 不会验证服务器是否存在任何请求的对象。
- 服务器绑定
- 如果 ADsPath 中有服务器名称,在使用 LDAP 提供程序时选中此复选框。对于包括域名的路径或无服务器的路径都不要选中此复选框。指定服务器名称,而不选中此复选框,会产生不必要的网络流量。
- 委派
- 启用 Active Directory 服务接口 (ADSI),以委派用户的安全上下文。必须进行委派才能在域之间移动对象。
- 只读服务器
- 对于 WinNT 提供程序,ADSI 会尝试连接域控制器。对于 Active Directory 域服务,选中此复选框表示执行无服务器绑定不必使用可写服务器。
- 单击“确定”。